GM∕T 0076-2019 銀行卡信息系統(tǒng)密碼應用技術要求

書 書 書犐 犆犛 犔 中華人民共和國密碼行業(yè)標準犌犕犜 銀行卡信息系統(tǒng)密碼應用技術要求犆 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 狔狋 犲 犮 犺 狀 犻 犮 犪 犾狉 犲 狇 狌 犻 狉 犲犿犲 狀 狋 狊犳 狅 狉犫 犪 狀 犽 犻 狀 犵犮 犪 狉 犱犻 狀 犳 狅 狉犿犪 狋 犻 狅 狀狊 狔 狊 狋 犲犿狊 發(fā)布 實施國家密碼管理局發(fā) 布書 書 書目次前言引言范圍規(guī)范引用文件術語和定義縮略語銀行卡信息系統(tǒng)模型密碼應用基本要求和密碼應用功能要求銀行卡信息系統(tǒng)密碼技術安全保護二級要求 基本要求 密碼技術安全要求 物理和環(huán)境安全 網絡和通信安全 設備和計算安全 應用和數據安全 密碼配用策略要求 密鑰安全與管理要求 總則 密鑰安全 密鑰管理 安全管理要求 概述 安全管理制度 人員管理要求 密碼設備管理 使用密碼的業(yè)務終端要求 銀行卡信息系統(tǒng)密碼技術安全保護三級要求 基本要求 密碼技術安全要求 物理和環(huán)境安全 網絡和通信安全 設備和計算安全 應用和數據安全 犌犕犜 密碼配用策略要求 密鑰安全與管理要求 總則 密鑰安全 密鑰管理 安全管理要求 概述 安全管理制度 人員管理要求 密碼設備的安全管理 使用密碼的業(yè)務終端要求銀行卡信息系統(tǒng)密碼技術安全保護四級要求 基本要求 密碼技術安全要求 物理和環(huán)境安全 網絡和通信安全 設備和計算安全 應用和數據安全 密碼配用策略要求 密鑰安全與管理要求 總則 密鑰安全 密鑰管理 安全管理要求 概述 安全管理制度 人員管理要求 密碼設備管理 使用密碼的業(yè)務終端要求 附錄（規(guī)范性附錄）安全要求對照表 參考文獻 犌犕犜 前言本標準是信息安全等級保護銀行業(yè)金融機構密碼技術應用要求相關系列標準之一。與本標準相關的系列標準包括： 手機銀行信息系統(tǒng)密碼應用技術要求 銀行信貸信息系統(tǒng)密碼應用技術要求 銀行核心信息系統(tǒng)密碼應用技術要求本標準按照 給出的規(guī)則起草。本標準由密碼行業(yè)標準化技術委員會提出并歸口。本標準起草單位：國家密碼管理局商用密碼檢測中心、中金金融認證中心有限公司、中國銀行股份有限公司、中國民生銀行股份有限公司。本標準主要起草人：鄧開勇、謝宗曉、張大健、馬瑤瑤、介磊、郭晶瑩、張眾、楊辰。犌犕犜 引言本標準與 信息系統(tǒng)密碼應用基本要求 、 手機銀行信息系統(tǒng)密碼應用技術要求 、 銀行核心信息系統(tǒng)密碼應用技術要求 、 銀行信貸信息系統(tǒng)密碼應用技術要求共同構成了信息系統(tǒng)安全等級保護密碼技術要求的相關配套標準。其中 信息系統(tǒng)密碼應用基本要求是基礎性標準，本標準、 手機銀行信息系統(tǒng)密碼應用技術要求 、 銀行核心信息系統(tǒng)密碼應用技術要求及 銀行信貸信息系統(tǒng)密碼應用技術要求是在 基礎上的進一步細化和擴展。本標準在 信息系統(tǒng)密碼應用基本要求 、 信息安全技術信息系統(tǒng)安全等級保護基本要求 、 金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引等技術類標準的基礎上，根據現有技術的發(fā)展水平，提出和規(guī)定了不同安全保護等級的銀行卡系統(tǒng)保護要求，包括安全技術要求和安全管理要求，本標準適用于指導不同安全保護等級的銀行業(yè)金融機構銀行卡系統(tǒng)中密碼技術的安全建設、安全使用與監(jiān)督管理。銀行業(yè)金融機構應依據信息安全等級保護有關技術標準與國家、行業(yè)主管部門要求，對銀行卡信息系統(tǒng)開展包括系統(tǒng)定級在內的信息安全等級保護工作。目前銀行卡系統(tǒng)安全等級為二級、三級與四級，暫不存在安全級別為一級和五級的系統(tǒng)，故本標準暫不對第一級信息系統(tǒng)和第五級信息系統(tǒng)的提出具體的密碼技術要求。銀行卡系統(tǒng)應依據 信息安全技術信息系統(tǒng)安全等級保護定級指南 ，以及國家主管部門有關要求，進行定級。等級確定后，依據本標準選擇相應級別的密碼技術保護措施。在本標準文本的各類安全要求中， “可”表示可以、允許； “宜”表示推薦、建議； “應”表示應該。犌犕犜 銀行卡信息系統(tǒng)密碼應用技術要求范圍本標準在 、 等標準基礎上，結合銀行業(yè)金融機構銀行卡系統(tǒng)的特點及該類信息系統(tǒng)等級保護安全建設工作中密碼技術的應用需要，從密碼安全技術要求、密鑰安全與管理要求、安全管理要求三方面，對不同安全保護等級的銀行卡系統(tǒng)中密碼技術的應用提出具體的要求。本標準適用于指導、規(guī)范和評估銀行卡信息系統(tǒng)中的的商用密碼應用。規(guī)范引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 銀行業(yè)務安全加密設備（零售）第部分：金融交易中設備安全符合性檢測清單 銀行業(yè)務個人識別碼的管理與安全第部分：和系統(tǒng)中聯(lián)機 處理的基本原則和要求 銀行業(yè)務安全加密設備（零售）第部分：概念、要求和評估方法 技術規(guī)范 密碼模塊安全要求 采用非接觸卡的門禁系統(tǒng)密碼應用指南 信息系統(tǒng)密碼應用基本要求 密碼術語術語和定義 界定的以及下列術語和定義適用于本文件。 身份鑒別實體鑒別犪 狌 狋 犺 犲 狀 狋 犻 犮 犪 狋 犻 狅 狀犲 狀 狋 犻 狋 狔犪 狌 狋 犺 犲 狀 狋 犻 犮 犪 狋 犻 狅 狀確認一個實體所聲稱身份的過程。 事件犲 狏 犲 狀 狋與信息系統(tǒng)安全策略相沖突的進程。 密鑰加密密鑰犽 犲 狔犲 狀 犮 狉 狔 狆 狋 犻 狅 狀犽 犲 狔；犓犈犓用于對密鑰進行加密或解密的密鑰。 密碼協(xié)議犮 狉 狔 狆 狋 狅 犵 狉 犪 狆 犺 犻 犮狆 狉 狅 狋 狅 犮 狅 犾兩個或兩個以上參與者使用密碼算法，按照約定的規(guī)則，為達到某種特定目的而采取的一系列犌犕犜 步驟。 命令犮 狅犿犿犪 狀 犱終端向 卡發(fā)出的一條報文，該報文啟動一個操作或請求一個響應。 接口設備犻 狀 狋 犲 狉 犳 犪 犮 犲犱 犲 狏 犻 犮 犲終端上插入 卡的部分，包括其中的機械和電氣部分。 填充狆 犪 犱 犱 犻 狀 犵向數據串某一端添加附加位。 密碼鍵盤犘 犐 犖狆 犪 犱用于輸入個人識別碼的一組數字和命令按鍵。 響應狉 犲 狊 狆 狅 狀 狊 犲 卡處理完成收到的命令報文后，返回給終端的報文。 終端狋 犲 狉犿 犻 狀 犪 犾在交易點安裝、用于與 卡配合共同完成金融交易的設備。它應包括接口設備，也可包括其他的部件和接口（如與主機的通訊） 。 密鑰組件犽 犲 狔犿狅 犱 狌 犾 犲將完整密鑰分塊分別保存的部分。 銀行卡系統(tǒng)犫 犪 狀 犽犮 犪 狉 犱狊 狔 狊 狋 犲犿由銀行卡跨行支付系統(tǒng)以及發(fā)卡行內銀行卡支付系統(tǒng)組成的專門處理銀行卡跨行的信息轉接和交易清算業(yè)務的信息系統(tǒng)。 生物識別犫 犻 狅犿犲 狋 狉 犻 犮犪 狌 狋 犺 犲 狀 狋 犻 犮 犪 狋 犻 狅 狀利用人體固有的生理特性（如指紋、虹膜） ，與行為特征來進行個人身份的鑒定，是使用密碼技術進行身份認證的輔助認證措施?？s略語下列縮略語適用于本文件。應用密文（ ）數據認證數據對象列表（ ） 集成電路（ ）密鑰加密密鑰（ ）一次性口令（ ） 個人識別碼（ ）犌犕犜 安全套接層（ ）安全套接層傳輸協(xié)議（ ）虛擬專用網絡（ ）銀行卡信息系統(tǒng)模型典型的銀行卡信息系統(tǒng)由銀行卡操作終端及銀行卡信息處理服務端組成，如圖所示。圖銀行卡信息系統(tǒng)的基本架構用戶：具有對銀行卡操作終端進行操作行為的主體。銀行卡操作終端：指銀行卡信息系統(tǒng)中使用主體為用戶，且具備卡信息讀取和操作能力的軟硬件集合，是為用戶提供銀行卡信息服務的操作終端。銀行卡信息處理服務端：指匯集和處理銀行卡操作終端讀取和操作的銀行卡信息，并提供針對性服務的服務器端，本標準規(guī)定的服務端既包含軟件程序，也包含承載和運行程序的硬件設備。邊界：指主體之間互聯(lián)互通的界限，包括交互邊界、網絡邊界、物理邊界等。密碼應用基本要求和密碼應用功能要求手機銀行信息系統(tǒng)密碼應用基本要求和密碼應用功能要求遵照 第章、第章要求。銀行卡信息系統(tǒng)密碼技術安全保護二級要求） 基本要求）該級別的全部安全要求與其他級別的對比請參照附錄安全要求對照表，下同。應滿足 中第二級指標要求。犌犕犜 密碼技術安全要求 物理和環(huán)境安全 總則參照 中物理和環(huán)境安全密碼應用總則。 密碼硬件安全“密碼硬件安全” “物理環(huán)境安全”和“電子門禁系統(tǒng)”是銀行卡信息系統(tǒng)“物理和環(huán)境安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“物理和環(huán)境安全密碼硬件安全”指標做如下要求：）系統(tǒng)的專用硬件或固件以及密碼設備應具有有效的物理安全保護措施；注：本標準中“有效措施”是指能滿足“保證項”要求的手段或能實現系統(tǒng)設定的安全目標的方法，以下注釋同。）系統(tǒng)的專用硬件或固件以及密碼設備應滿足運行環(huán)境的可靠性要求。 物理環(huán)境安全“密碼硬件安全” “物理環(huán)境安全”和“電子門禁系統(tǒng)”是銀行卡信息系統(tǒng)“物理和環(huán)境安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“物理和環(huán)境安全物理環(huán)境安全”指標做如下要求：宜使用密碼技術的真實性功能來保護物理訪問控制身份鑒別信息，保證重要區(qū)域進入人員身份的真實性。 電子門禁系統(tǒng)“密碼硬件安全” “物理環(huán)境安全”和“電子門禁系統(tǒng)”是銀行卡信息系統(tǒng)“物理和環(huán)境安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“物理和環(huán)境安全電子門禁系統(tǒng)”指標做如下要求：）宜使用密碼技術的完整性功能來；）保證電子門禁系統(tǒng)進出記錄的完整性；）采用的門禁系統(tǒng)資質、架構、部署應符合 技術規(guī)范；）宜制定相應規(guī)章制度以確保門禁系統(tǒng)使用的合規(guī)性、正確性、有效性。 網絡和通信安全 總則參照 中網絡和通信安全密碼應用總則。 通信安全“通信安全”和“身份鑒別”是銀行卡信息系統(tǒng)“網絡和通信安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“網絡和通信安全通信安全”指標做如下要求：）為防止訪問通訊數據被篡改、截獲、假冒和重用，宜使用密碼技術的完整性服務、機密性服務和真實性服務對網絡邊界、系統(tǒng)資源訪問控制信息進行保護；）在進行數據傳輸時，宜使用數字證書、加密解密等密碼技術，建立安全的傳輸層會話通道。犌犕犜 身份鑒別“通信安全”和“身份鑒別”是銀行卡信息系統(tǒng)“網絡和通信安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“網絡和通信安全身份鑒別”指標做如下要求：）在對登錄網絡設備的用戶進行身份鑒別時，為防止鑒別信息被重用和假冒，宜使用密碼技術的真實性服務對鑒別信息進行防重用和防假冒保護，其密碼功能應確保正確、有效；）在執(zhí)行網絡遠程管理時，為防止鑒別信息在傳輸過程中被泄露，宜使用密碼技術的機密性服務對鑒別信息進行機密性保護，其密碼功能應確保正確、有效；）網絡設備系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，關鍵網絡設備的靜態(tài)密碼應在位以上并由字母、數字、符號等混合組成并定期更換；）信息系統(tǒng)對通過身份認證后的實體，應使用密碼技術生成唯一的隨機的標識符，并確保該功能正確、有效。 設備和計算安全 總則參照 中設備和計算安全密碼應用總則。 審計記錄“審計記錄” “訪問控制” “身份鑒別” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“設備和計算安全審計記錄”指標做如下要求：為防止審計記錄被非法修改，宜使用密碼技術的完整性服務對審計記錄進行完整性保護，其密碼功能應確保正確、有效。 訪問控制“審計記錄” “訪問控制” “身份鑒別” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“設備和計算安全訪問控制”指標做如下要求：）在訪問控制機制方面，為防止系統(tǒng)資源訪問控制信息被篡改，宜使用密碼技術的完整性服務對系統(tǒng)資源訪問控制信息進行完整性保護，其密碼功能應確保正確、有效；）宜使用密碼技術的完整性功能來保證重要信息資源敏感標記的完整性。 身份鑒別“審計記錄” “訪問控制” “身份鑒別” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“設備和計算安全身份鑒別”指標做如下要求：）在進行身份鑒別時，為防止鑒別信息被假冒、重用，宜使用密碼技術的真實性服務對鑒別信息進行防假冒和防重用保護，其密碼功能應確保正確、有效；）在進行身份鑒別時，為防止鑒別信息在傳輸過程中被泄露，宜使用密碼技術的機密性服務對鑒別信息進行機密性保護，其密碼功能應確保正確、有效；）操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，關鍵系統(tǒng)的靜態(tài)口令應犌犕犜 在位以上并由字母、數字、符號等混合組成并定期更換。 驗證碼與動態(tài)口令“審計記錄” “訪問控制” “身份鑒別” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“設備和計算安全驗證碼與動態(tài)口令”指標做如下要求：）使用手機短信或其他渠道發(fā)送驗證碼時，應使用正確的密碼技術，確保發(fā)送的動態(tài)口令完全隨機，不可預測；）使用手機短信或其他渠道發(fā)送驗證碼時，應確保不會泄露驗證碼的內容；）如果使用令牌進行身份校驗，應使用正確的密碼技術，確保完全隨機，不可預測。 密碼模塊“審計記錄” “訪問控制” “身份鑒別” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“設備和計算安全密碼模塊”指標做如下要求：應使用符合 的二級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼產品實現密碼運算和密鑰管理：）系統(tǒng)的專用硬件或固件以及密碼設備應實現授權控制、非授權訪問的檢測、運行狀態(tài)指示等安全功能，保證密碼模塊能夠在核準的工作模式下正確運行；）系統(tǒng)的專用硬件或固件以及密碼設備應能夠防止非授權地泄露模塊的內容或關鍵安全參數；）系統(tǒng)的專用硬件或固件以及密碼設備應能夠防止對密碼模塊和密碼算法進行非授權或檢測不到的修改。 應用和數據安全 總則參照 中應用和數據安全密碼應用總則。 數據傳輸“數據傳輸”“數據存儲”和“終端應用”是銀行卡信息系統(tǒng)“應用和數據安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“應用和數據安全數據傳輸”指標做如下要求：）宜使用密碼技術的完整性服務對重要用戶數據和系統(tǒng)管理數據、鑒別信息等重要業(yè)務數據來實現在傳輸過程中完整性的檢測，其密碼功能應確保正確、有效；）應使用交易信息的安全通道傳輸協(xié)議（，且應符合 要求）進行加密傳輸；）對于銀行卡主賬號、磁道（含芯片等效磁道信息）信息、卡驗證碼（、）個人身份識別碼（ ） 、卡片有效期等敏感賬戶信息，以及用戶證件號碼、手機號碼等關鍵字段，應使用密碼技術進行機密性保護。 數據存儲“數據傳輸”“數據存儲”和“終端應用”是銀行卡信息系統(tǒng)“應用和數據安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“應用和數據安全數據存儲”指標做如下要求：在數據存儲安全方面，可使用密碼技術的完整性服務來實現對系統(tǒng)管理數據、鑒別信息、關鍵配置信息和重要業(yè)務數據在存儲過程中完整性的檢測，其密碼功能應確保正確、有效。犌犕犜 終端應用“數據傳輸”“數據存儲”和“終端應用”是銀行卡信息系統(tǒng)“應用和數據安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“應用和數據安全終端應用”指標做如下要求：）宜使用密碼技術的完整性服務來實現重要程序完整性校驗，其密碼功能應確保正確、有效；）終端應用不應明文或編碼存儲用戶的口令、支付密碼、等敏感信息；）終端應用在處理用戶輸入的敏感數據時，如口令、支付密碼等，宜采取安全措施，保證敏感數據的機密性，確保不被非授權獲取。 密碼配用策略要求 密碼算法配用“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密碼配用策略要求密碼算法配用”指標做如下要求：應采用國家密碼管理主管部門批準使用的算法。 密碼協(xié)議使用“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密碼配用策略要求密碼協(xié)議使用”指標做如下要求：應采用通過家密碼管理主管部門安全性評審的密碼協(xié)議實現密碼功能。 應用密文產生“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。應用密文應由基于以下數據生成的報文鑒別碼組成： 引用 卡的并通過生成應用密文（）命令或其他命令從終端傳輸到 卡的數據； 卡內部訪問的數據。建議的應用密文生成中使用的最小數據集如表所示，可選的應用密文生成數據源如表所示。表建議的應用密文生成中使用的最小數據集值來源授權金額（數字）終端其他金額（數字）終端終端國家代碼終端終端驗證結果終端交易貨幣代碼終端交易日期終端犌犕犜 表（續(xù)）值來源交易類型終端不可預知數終端應用交互特征 卡應用交易計數器 卡表可選的應用密文生成數據源值來源卡片驗證結果 卡 銀行卡終端“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。對于受理銀行卡業(yè)務的商用終端，如、等產品，其密碼配用策略應滿足如下要求：對于有人值守的終端（如） ，金額輸入過程必須和 輸入過程分開，以避免意外地將 顯示在終端的顯示屏上。若在同一個鍵盤上輸入金額和 ，那么金額輸入和 輸入應是明顯分開的兩個操作，如果沒有其他確認操作，持卡人輸入的 應被用于金額確認。 密碼鍵盤“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。對于密碼鍵盤，應滿足如下要求：）密碼鍵盤技術要求應符合國家密碼管理主管部門與行業(yè)主管部門相關規(guī)定和標準。）密碼鍵盤內部包含具有加密運算處理功能的專用器件，能夠完成報文加密、解密、報文認證計算和驗證。密碼鍵盤應能夠安全地存儲密鑰，防止被讀取。應可存儲、選用多組密鑰。）交易金額需顯示在密碼鍵盤的顯示屏上。）持卡人鍵入口令時，密碼鍵盤的顯示屏上不能顯示明文，只能顯示星號。）密碼鍵盤與終端之間的信息傳送應以密文的形式進行。 密碼設備使用“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密碼配用策略要求密碼設備使用”指標做如下要求：）選用國家密碼管理主管部門批準的密碼設備；）信源加密、完整性校驗、身份鑒別應選用可信密碼模塊、智能密碼鑰匙、智能 卡、密碼卡、密碼機等密碼設備；）信道加密應選用鏈路密碼機、網絡密碼機、安全網關等密碼設備；）卡片密鑰安全，用于一種特定功能（如：密鑰）的加密解密密鑰不能被任何其他功能所使犌犕犜 用，包括保存在 卡中的密鑰和用來產生、派生、傳輸這些密鑰的密鑰。 密鑰安全與管理要求 總則參照 中密鑰管理總則。 密鑰安全 密鑰生成“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密鑰安全密鑰生成”指標做如下要求：）應使用符合國家標準的隨機數發(fā)生器產生密鑰；）密鑰應在密碼設備內部生產，不得以明文方式出現在密碼設備之外；）應具備檢查和剔除弱密鑰的能力；）密鑰對生成應由密鑰對的所有者或其代理方完成；）非對稱密鑰對的生成方式應保證私鑰的機密性以及公鑰的完整性；對用于不可否認服務的非對稱密鑰對的生成，應能向第三方來證明公鑰的完整性。 密鑰存儲“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密鑰安全密鑰存儲”指標做如下要求：）密鑰應加密存儲，并采取嚴格的安全防護措施，防止密鑰被非法獲??；）應通過口令保護系統(tǒng)中存儲的密鑰或其組件。 密鑰分發(fā)“密鑰生成” 、 “密鑰存儲” 、 “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密鑰安全密鑰分發(fā)”指標做如下要求：密鑰分發(fā)應采取身份鑒別、數據完整性、數據機密性等安全措施、應能夠抗截取、假冒、篡改、重放等攻擊，保證密鑰的安全性。 密鑰使用“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密鑰安全密鑰使用”指標做如下要求：）對于公鑰密碼體制，在使用公鑰之前應對其進行驗證。）在非對稱密碼系統(tǒng)中，密鑰對中的每個密鑰都用于單獨的功能。除非另有說明，密鑰對的兩個密鑰應滿足下述要求： 嚴格禁止私鑰的非授權使用； 公鑰只有在其真實性與完整性通過驗證后才可使用； 應防止繼續(xù)使用被懷疑泄露的密鑰。）在對稱密碼系統(tǒng)中，應滿足下述要求： 一個密鑰最多只應被兩個通信方使用； 應防止繼續(xù)使用被懷疑泄露的密鑰。犌犕犜 密鑰管理 密鑰的導入與導出“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密鑰管理密鑰的導入與導出”指標做如下要求：）應在密鑰管理員、密碼設備操作員在場的情況下進行密鑰導入與導出，安全審計員也宜在場，并記錄操作備忘錄，提交安全審計日志、安全審計文檔等。）密鑰的傳輸、導入與導出過程應按照雙重控制、密鑰分割的原則進行。如需使用密鑰組件，則所需的密鑰組件應由密鑰組件持有者分別導入。）在傳輸和導入密鑰時，應確認： 只有當密碼設備至少鑒別了兩位以上的被授權人身份時，如通過口令的方式，才可以傳輸密鑰；對于人工方式分發(fā)的密鑰，應使用管理流程，如紙質授權的方式，對被授權人的身份進行鑒別； 只有確信密碼設備在使用前沒有受到任何可能導致密鑰或敏感數據泄露的篡改時，才可以將私鑰導入到密碼設備中； 只有確信密碼設備接口處沒有安裝可能導致傳輸密鑰的任何元素泄露的竊聽裝置時，才可以在密碼設備之間進行私鑰的傳輸； 應使用密碼設備在生成密鑰和使用密鑰的設備間傳輸私鑰； 在將密鑰導入到目標設備后，密鑰傳送設備不應保留任何可能泄露該密鑰的信息； 當使用密鑰傳送設備時，密鑰（如果使用顯式密鑰標識符，還包括密鑰標識符）應從產生密鑰的密碼設備傳輸到密鑰傳送設備，這一設備應被物理運輸到實際使用密鑰的密碼設備所在處。）在使用密鑰組件時，應確認： 構成密鑰的密鑰組件應通過手工或密鑰傳輸設備導入或導出到設備中，密鑰組件的傳輸過程不應向任何非授權的個人泄露密鑰組件的任何部分； 當密鑰組件以可讀的形式分發(fā)時，每一個密鑰組件都應通過在開啟前不會泄露密鑰組件值的密鑰信封進行分發(fā)； 在輸入密鑰組件之前，應檢查密鑰信封或密碼設備有無被篡改的跡象。如果組件之一被篡改，這一套密鑰組件就不應被使用，且應遵循 說明的程序將其銷毀； 密鑰組件應由密鑰組件的每一個持有者單獨輸入并驗證密鑰組件的輸入是否正確。）密鑰管理員應負責檢查密鑰導入與導出時所生成校驗值的一致性。）當密鑰組件輸入密碼設備后，密鑰信封應加以銷毀或密封在另一個防篡改的密鑰信封內，以備將來可能的使用。）密鑰注入后，將存儲備份密鑰的介質保存至密碼信封中，由專人監(jiān)督確認后，鎖入保險柜中。 密鑰的存儲與保管“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密鑰管理密鑰的存儲與保管”指標做如下要求：）應制定密鑰存儲與保管的文檔化規(guī)定； 犌犕犜 ）密鑰資料須保存在保險柜內，保險柜鑰匙由密鑰管理員負責，保證只有指定的密鑰管理人員能打開保管的設備；）密碼只能存儲在符合 規(guī)定的密碼設備中；）若使用密鑰組件，應確保密鑰組件通過特定的密鑰信封或密鑰傳輸設備傳送給被授權人。密鑰信封的印刷，應保證信封在開啟后才能看到密鑰組件。信封應只顯示將密鑰信封遞交給授權人所必需的最少信息。密鑰信封的結構應使得意外的或欺騙性的開啟易于被接收方發(fā)現，如果出現這種情況，密鑰組件就不應再被使用。 密鑰的使用與更換“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密鑰管理密鑰的使用與更換”指標做如下要求：）密鑰應明確用途，并按用途正確使用；）應對密鑰使用各環(huán)節(jié)建立跟蹤與核查制度；）在密鑰使用過程中，應有安全措施防止密鑰的泄露和替換；）在密鑰使用過程中，應按照密鑰更換周期要求更換密鑰，密鑰更換允許中斷系統(tǒng)運行；）密鑰泄露時，應立即停止使用，并啟動相應的應急處理和響應措施；）對密碼機、密碼管理設備的系統(tǒng)管理員密碼、用戶密碼、用戶權限進行管理，一旦發(fā)生泄漏或者權限失控應啟動核查跟蹤程序，根據權限失控的情況進行事件等級評估，并適時更新相關密鑰。 密鑰的備份與恢復“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“密鑰管理密鑰的備份與恢復”指標做如下要求：）應建立密鑰恢復與修正工作流程，明確密鑰替換、修正的觸發(fā)情況，規(guī)定密鑰替換、修正的標準作業(yè)流程，并保留密鑰替換、修正作業(yè)記錄；）如懷疑密鑰泄露或設備的安全性受到威脅，則應將密鑰撤回或更換（例如銷毀或廢止） ；）應制定明確的密鑰備份策略，采用安全可靠的密鑰備份恢復機制，對密鑰進行備份或恢復；）密鑰備份或恢復應進行記錄，并生成審計信息；審計信息包括備份或恢復的主體、備份或恢復的時間等；）應有安全措施防止密鑰的泄露和替換；）應確保密鑰儲存位置和形式的安全，限制密鑰的訪問權限；）如果根據攻擊者已經獲得的信息，可以確認已經發(fā)生了未經授權的密鑰替換，則應遵循下列步驟進行密鑰更換： 擦除任何已經確認被替代的存儲密鑰的加密版本，確認現存的所有加密的密鑰是否合法；如果有不合法的密鑰，則應被刪除； 由某個新的密鑰加密密鑰對合法存儲的加密的密鑰重新加密； 將舊的密鑰加密密鑰從所有運行位置上刪除。 犌犕犜 安全管理要求 概述應根據國家相關密碼管理政策，遵循金融業(yè)數據安全保密的國家標準，結合組織實際情況，設立密鑰管理人員、安全審計人員、密碼設備操作人員崗位。 安全管理制度“安全管理制度” “人員管理要求” “密碼設備管理”和“使用密碼的業(yè)務終端要求”是銀行卡信息系統(tǒng)“安全管理要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“安全管理要求安全管理制度”指標做如下要求：）應對所有密鑰的生成、存儲、注入、使用、分發(fā)、備份、恢復、歸檔、銷毀等方面建立管理制度。）應建立密碼設備、密碼系統(tǒng)的標準作業(yè)規(guī)程，明確各步驟的操作標準流程，各階段操作應生成作業(yè)表格，并歸檔留存。）定期檢查密碼設備與密鑰系統(tǒng)的安全管理狀況，依據密鑰安全管理制度要求，填報有關表格和報告。）宜制定密碼安全管理制度及操作規(guī)范、安全操作規(guī)范。密碼安全管理制度應包括密碼建設、運維、人員、設備、密鑰等密碼管理相關內容。）宜定期對密碼安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要改進的安全管理制度進行修訂。）宜明確相關管理制度發(fā)布流程。 人員管理要求“安全管理制度” “人員管理要求” “密碼設備管理”和“使用密碼的業(yè)務終端要求”是銀行卡信息系統(tǒng)“安全管理要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“安全管理要求人員管理要求”指標做如下要求：）應了解并遵守密碼相關法律法規(guī)；）應能夠正確使用密碼產品；）應建立人員培訓制度，對于涉及密碼的操作和管理以及密鑰管理人員進行專門培訓；）依據主管部門要求與組織實際情況，應配備一定數量的密鑰管理人員、安全審計人員、密碼設備操作人員等崗位人員，上述崗位人員不可互相兼任；）應配備專職密鑰管理人員，該崗位人員不可由其他崗位人員兼任；）應建立崗位責任制度，明確相關人員在密碼設備管理與密鑰系統(tǒng)管理中的職責和權限，密碼管理有關的設備與系統(tǒng)的管理以及使用賬號不得多人共用；）密鑰管理人員應是本機構在編的正式員工，并逐級進行備案，規(guī)范密鑰管理；）應對密碼管理、密碼設備操作建立人員選拔制度和審查制度，確定專職人員承擔相關工作，對相關人員實施必要的審查；）應建立人員考核制度，定期進行崗位人員考核；）應建立關鍵崗位人員保密制度和調離制度，簽訂保密合同，承擔保密義務。 犌犕犜 密碼設備管理“安全管理制度” “人員管理要求” “密碼設備管理”和“使用密碼的業(yè)務終端要求”是銀行卡信息系統(tǒng)“安全管理要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“安全管理要求密碼設備管理”指標做如下要求：）系統(tǒng)應建立密碼設備安全管理制度；）系統(tǒng)應采用經國家密碼管理主管部門認證的密碼產品；）密碼設備操作人員應經過專業(yè)培訓和考核；）系統(tǒng)應配備密碼設備維護人員和管理人員。 使用密碼的業(yè)務終端要求“安全管理制度” “人員管理要求” “密碼設備管理”和“使用密碼的業(yè)務終端要求”是銀行卡信息系統(tǒng)“安全管理要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護二級要求中，對“安全管理要求使用密碼的業(yè)務終端要求”指標做如下要求：）終端設備密碼模塊應符合國家密碼管理主管部門與行業(yè)主管部門相關規(guī)定和標準；）終端設備應通過測試滿足密碼運算的基本功能和性能要求；）終端設備密鑰與密碼的操作應依據操作手冊和操作規(guī)程進行；）終端設備報廢時應將存儲在該設備中的密鑰刪除和銷毀，銷毀終端密碼應用相關軟件。銀行卡信息系統(tǒng)密碼技術安全保護三級要求 基本要求應滿足 中第三級指標要求。 密碼技術安全要求 物理和環(huán)境安全 總則參照 中物理和環(huán)境安全密碼應用總則。 密碼硬件安全“密碼硬件安全” “物理環(huán)境安全”和“電子門禁系統(tǒng)”是銀行卡信息系統(tǒng)“物理和環(huán)境安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“物理和環(huán)境安全密碼硬件安全”指標做如下要求：）系統(tǒng)的專用硬件或固件以及密碼設備應具有有效的物理安全保護措施；注：本標準中“有效措施”是指能滿足“保證項”要求的手段或能實現系統(tǒng)設定的安全目標的方法，以下注釋同。）系統(tǒng)的專用硬件或固件以及密碼設備應滿足運行環(huán)境可靠性要求。 物理環(huán)境安全“密碼硬件安全” “物理環(huán)境安全”和“電子門禁系統(tǒng)”是銀行卡信息系統(tǒng)“物理和環(huán)境安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“物理和環(huán)境安全物理環(huán)境安全”指標做如下 犌犕犜 要求：應使用密碼技術的真實性功能來保護物理訪問控制身份鑒別信息，保證重要區(qū)域進入人員身份的真實性。 電子門禁系統(tǒng)“密碼硬件安全” “物理環(huán)境安全”和“電子門禁系統(tǒng)”是銀行卡信息系統(tǒng)“物理和環(huán)境安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“物理和環(huán)境安全電子門禁系統(tǒng)”指標做如下要求：）在電子門禁系統(tǒng)中，應使用密碼技術的完整性服務保證電子門禁系統(tǒng)進出記錄的完整性，其密碼功能應確保正確、有效；）門禁系統(tǒng)要求讀卡方式宜使用非接觸讀卡方式，避免使用磁條卡；）當門禁系統(tǒng)檢測到無法識別的卡片嘗試非法進入時，宜提供警告信息并能對非法嘗試的卡片進行定位；）采用的門禁系統(tǒng)資質、架構、部署應符合 要求的技術規(guī)范；）應制定相應規(guī)章制度以確保門禁系統(tǒng)使用的合規(guī)性、正確性、有效性。 網絡和通信安全 總則參照 中網絡和通信安全密碼應用總則。 通信安全“通信安全” “身份鑒別” “安全訪問路徑”和“審計記錄”是銀行卡信息系統(tǒng)“網絡和通信安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“網絡和通信安全通信安全”指標做如下要求：）為防止訪問通訊數據被篡改、截獲、假冒和重用，應使用密碼技術的完整性服務、機密性服務和真實性服務對網絡邊界、系統(tǒng)資源訪問控制信息進行保護，其密碼功能應確保正確、有效；）在進行數據傳輸時，應使用數字證書、加密解密等密碼技術，建立安全的傳輸層會話通道。傳輸數據的主體應對客體的身份信息進行鑒別，保障數據的機密性；）應使用密碼技術的真實性服務來實現通信雙方會話初始化驗證，其密碼功能應確保正確、有效；）宜使用密碼技術的抗抵賴服務來提供數據原發(fā)證據和數據接收證據，實現數據原發(fā)行為的抗抵賴和數據接收行為的抗抵賴，其密碼功能應確保正確、有效。 身份鑒別“通信安全” “身份鑒別” “安全訪問路徑”和“審計記錄”是銀行卡信息系統(tǒng)“網絡和通信安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“網絡和通信安全身份鑒別”指標做如下要求：）在對登錄網絡設備的用戶進行身份鑒別時，為防止鑒別信息被重用和假冒，應使用密碼技術的真實性服務對鑒別信息進行防重用和防假冒保護，其密碼功能應確保正確、有效；）在執(zhí)行網絡遠程管理時，為防止鑒別信息在傳輸過程中被泄露，應使用密碼技術的機密性服務對鑒別信息進行機密性保護，其密碼功能應確保正確、有效； 犌犕犜 ）網絡設備系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，關鍵網絡設備的靜態(tài)密碼應在位以上并由字母、數字、符號等混合組成并定期更換；）信息系統(tǒng)對通過身份認證后的實體，應使用密碼技術生成唯一的隨機的標識符，并確保該功能正確、有效；）應設置鑒別警示信息，當出現越權訪問或嘗試非法訪問時，系統(tǒng)會自動提示未授權訪問；）宜采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別，并且身份鑒別信息至少有一種是不易偽造的，例如以密鑰證書、動態(tài)口令卡、生物特征等作為身份鑒別信息；）若使用短信驗證碼或進行身份認證，應確保驗證功能正確、有效，不可通過其他方式繞過驗證碼或的校驗。 安全訪問路徑“通信安全” “身份鑒別” “安全訪問路徑”和“審計記錄”是銀行卡信息系統(tǒng)“安全訪問路徑”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“網絡和通信安全安全訪問路徑”指標做如下要求：）在建立安全訪問路徑的過程中，應使用密碼技術的真實性服務保證通信主體身份鑒別信息的可靠與真實性，其密碼功能應確保正確、有效；）在建立安全訪問路徑的過程中，應使用密碼技術的完整性服務保證安全訪問路徑中路由控制信息的完整性，其密碼功能應確保正確、有效。 審計記錄“通信安全” “身份鑒別” “安全訪問路徑”和“審計記錄”是銀行卡信息系統(tǒng)“安全訪問路徑”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“網絡和通信安全審計記錄”指標做如下要求：應使用密碼技術的完整性服務對審計記錄進行完整性保護，其密碼功能應確保正確、有效。 設備和計算安全 總則參照 中設備和計算安全密碼應用總則。 審計記錄“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“設備和計算安全審計記錄”指標做如下要求：為防止審計記錄被非法修改，宜使用密碼技術的完整性服務對審計記錄進行完整性保護，其密碼功能應確保正確、有效。 身份鑒別“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“設備和計算安全身份鑒別”指標做如下要求：）在進行身份鑒別時，為防止鑒別信息被假冒、重用，應使用密碼技術的真實性服務對鑒別信息 犌犕犜 進行防假冒和防重用保護，其密碼功能應確保正確、有效；）在進行身份鑒別時，為防止鑒別信息在傳輸過程中被泄露，應使用密碼技術的機密性服務對鑒別信息進行機密性保護，其密碼功能應確保正確、有效；）操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，關鍵系統(tǒng)的靜態(tài)口令應在位以上并由字母、數字、符號等混合組成并定期更換；）主機系統(tǒng)應對與之相連的服務器或終端設備進行身份標識和鑒別，當網絡對服務器進行遠程管理時，宜采取加密措施，防止鑒別信息在網絡傳輸過程中被竊聽；）關鍵性交易，需要用戶對交易內容進行身份信息確認（如使用二代 等） ，確認后對交易數據做數字簽名，達到交易信息的不可否認性；）應設置鑒別警示信息，當出現越權訪問或嘗試非法訪問時，系統(tǒng)會自動提示未授權訪問；）應采用兩種或兩種以上組合的鑒別技術對管理用戶或關鍵信息系統(tǒng)用戶進行身份鑒別，并且身份鑒別信息至少有一種是不易偽造的，例如以密鑰證書、動態(tài)口令卡、生物特征等作為身份鑒別信息。 訪問控制“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“設備和計算安全訪問控制”指標做如下要求：）在訪問控制機制方面，為防止系統(tǒng)資源訪問控制信息被篡改，宜使用密碼技術的完整性服務對系統(tǒng)資源訪問控制信息進行完整性保護，其密碼功能應確保正確、有效；）宜使用密碼技術的完整性功能來保證重要信息資源敏感標記的完整性。 驗證碼與動態(tài)口令“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“設備和計算安全驗證碼與動態(tài)口令”指標做如下要求：）使用手機短信或其他渠道發(fā)送驗證碼時，應使用正確的密碼技術，確保發(fā)送的動態(tài)口令完全隨機，不可預測；）使用手機短信或其他渠道發(fā)送驗證碼時，應確保不會泄露驗證碼的內容；）如果使用令牌進行身份校驗，應使用正確的密碼技術，確保完全隨機，不可預測；）使用手機短信或其他渠道發(fā)送驗證碼時，應確保每個驗證碼只能在有限的時間內使用一次；）如果使用令牌進行身份校驗，應確保每個只能在有限的時間內使用一次。 密碼模塊“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“設備和計算安全密碼模塊”指標做如下要求：宜使用符合 的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼產品實現密碼運算和密鑰管理：）系統(tǒng)的專用硬件或固件以及密碼設備應實現授權控制、非授權訪問的檢測、運行狀態(tài)指示等安全功能，保證密碼模塊能夠在核準的工作模式下正確運行； 犌犕犜 ）系統(tǒng)的專用硬件或固件以及密碼設備應能夠防止非授權地泄露模塊的內容或關鍵安全參數；）系統(tǒng)的專用硬件或固件以及密碼設備應能夠防止對密碼模塊和密碼算法進行非授權或檢測不到的修改；）系統(tǒng)的專用硬件或固件以及密碼設備應能檢測出密碼模塊運行中的錯誤，并防止這些錯誤非授權地公開、修改或使用關鍵安全參數。 應用和數據安全 總則參照 中應用和數據安全密碼應用總則。 數據傳輸“數據傳輸”“數據存儲”和“終端應用”是銀行卡信息系統(tǒng)“應用和數據安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“應用和數據安全數據傳輸”指標做如下要求：）應使用密碼技術的完整性服務對重要用戶數據和系統(tǒng)管理數據、鑒別信息等重要業(yè)務數據來實現在傳輸過程中完整性的檢測，其密碼功能應確保正確、有效；）應使用交易信息的安全通道傳輸協(xié)議（，且應符合 要求）進行加密傳輸；）對于銀行卡主賬號、磁道（含芯片等效磁道信息）信息、卡驗證碼（、） 、個人身份識別碼（ ） 、卡片有效期等敏感賬戶信息，以及用戶證件號碼、手機號碼等關鍵字段，應使用密碼技術進行機密性保護；）對于通過互聯(lián)網對外提供服務的系統(tǒng)，在通信過程中的整個報文或會話過程，應通過專用的通信協(xié)議或加密的方式保證通信過程的機密性；）應使用密碼技術的機密性服務來實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據的傳輸機密性保護，其密碼功能應確保正確、有效。 數據存儲“數據傳輸”“數據存儲”和“終端應用”是銀行卡信息系統(tǒng)“應用和數據安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“應用和數據安全數據存儲”指標做如下要求：）宜使用密碼技術的完整性服務來實現對系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據在存儲過程中完整性的檢測，其密碼功能應確保正確、有效；）宜使用密碼技術的機密性服務來實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據的存儲機密性保護，其密碼功能應確保正確、有效。 終端應用“數據傳輸”“數據存儲”和“終端應用”是銀行卡信息系統(tǒng)“應用和數據安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“應用和數據安全終端應用”指標做如下要求：）應使用密碼技術的完整性服務來實現重要程序完整性校驗，其密碼功能應確保正確、有效；）終端應用不應明文或編碼存儲用戶的口令、支付密碼、等敏感信息；）終端應用應對于密碼、等敏感數據進行脫敏處理；）終端應用在處理用戶輸入的敏感數據時，如口令、支付密碼等，宜采取安全措施，保證敏感數據的機密性，確保不被非授權獲??；）終端應用不應將用戶的口令、個人信息、等敏感數據泄露給其他實體，如本地其他 犌犕犜 進程、其他數據服務器等。 密碼配用策略要求 密碼算法配用“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密碼配用策略要求密碼算法配用”指標做如下要求：應采用國家密碼管理主管部門批準使用的算法。 密碼協(xié)議使用“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密碼配用策略要求密碼協(xié)議使用”指標做如下要求：應采用通過國家密碼管理主管部門安全性評審的或發(fā)布的相關密碼標準密碼協(xié)議實現密碼功能。 應用密文產生“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。應用密文應由基于以下數據生成的報文鑒別碼組成： 引用 卡的并通過生成應用密文（）命令或其他命令從終端傳輸到 卡的數據； 卡內部訪問的數據。建議的應用密文生成中使用的最小數據集如表所示，可選的應用密文生成數據源如表所示。表建議的應用密文生成中使用的最小數據集值來源授權金額（數字）終端其他金額（數字）終端終端國家代碼終端終端驗證結果終端交易貨幣代碼終端交易日期終端交易類型終端不可預知數終端應用交互特征 卡應用交易計數器 卡 犌犕犜 表可選的應用密文生成數據源值來源卡片驗證結果 卡 銀行卡終端“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。對于受理銀行卡業(yè)務的商用終端，如、等產品，其密碼配用策略應滿足如下要求：對于有人值守的終端（如） ，金額輸入過程必須和 輸入過程分開，以避免意外地將 顯示在終端的顯示屏上。若在同一個鍵盤上輸入金額和 ，那么金額輸入和 輸入應是明顯分開的兩個操作，如果沒有其他確認操作，持卡人輸入的 應被用于金額確認。 密碼鍵盤“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。對于密碼鍵盤，應滿足如下要求：）密碼鍵盤的技術要求應符合國家密碼管理主管部門與行業(yè)主管部門相關規(guī)定和標準；）密碼鍵盤內部包含具有加密運算處理功能的專用器件，能夠完成報文加密、解密、報文認證計算和驗證。密碼鍵盤應能夠安全地存儲密鑰，防止被讀取。應可存儲、選用多組密鑰；）交易金額需顯示在密碼鍵盤的顯示屏上；）持卡人鍵入口令時，密碼鍵盤的顯示屏上不能顯示明文，只能顯示星號；）密碼鍵盤與終端之間的信息傳送應以密文的形式進行。 密碼設備使用“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密碼配用策略要求密碼設備使用”指標做如下要求：）選用國家密碼管理主管部門批準的密碼設備；）信源加密、完整性校驗、身份鑒別應選用可信密碼模塊、智能密碼鑰匙、智能 卡、密碼卡、密碼機等密碼設備；）信道加密應選用鏈路密碼機、網絡密碼機、安全網關等密碼設備；）需要配用獨立的密鑰管理系統(tǒng)或使用數字證書認證系統(tǒng)提供的密鑰管理服務。采用國家密碼管理主管部門批準使用的算法；）卡片密鑰安全，用于一種特定功能（如：密鑰）的加密解密密鑰不能被任何其他功能所使用，包括保存在 卡中的密鑰和用來產生、派生、傳輸這些密鑰的密鑰。 密鑰安全與管理要求 總則參照 中密鑰管理總則。 犌犕犜 密鑰安全 密鑰生成“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密鑰安全密鑰生成”指標做如下要求：）應使用國家密碼管理主管部門批準的硬件物理噪聲源產生隨機數；）密鑰應在密碼設備內部生產，不得以明文方式出現在密碼設備之外；）應具備檢查和剔除弱密鑰的能力；）密鑰對生成應由密鑰對的所有者或其代理方完成；）非對稱密鑰對的生成方式應保證私鑰的機密性以及公鑰的完整性，并能夠向第三方證明；）若加密密鑰與被加密的密鑰形成上下級密鑰關系，那么在密鑰分級結構中，上級密鑰與它們所保護的密鑰相比，安全級別應相等或更高；）如果密鑰對由不使用該密鑰對的系統(tǒng)生成，則： 在確認傳輸已經完成后，密鑰對和所有相關的機密種子元素應被立即擦除； 應確保私鑰的完整性。 密鑰存儲“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密鑰安全密鑰存儲”指標做如下要求：）密鑰應加密存儲在專用硬件中，并采取嚴格的安全防護措施，防止密鑰被非法獲取；）應通過口令保護系統(tǒng)中存儲的密鑰或其組件；）應采用兩種或兩種以上組合的鑒別技術，保護存儲在密鑰傳輸設備里的密鑰組件，例如以密鑰證書、動態(tài)口令卡、生物特征等作為身份鑒別信息。 密鑰分發(fā)“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密鑰安全密鑰分發(fā)”指標做如下要求：密鑰分發(fā)應采取身份鑒別、數據完整性、數據機密性等安全措施、應能夠抗截取、假冒、篡改、重放等攻擊，保證密鑰的安全性。 密鑰使用“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密鑰安全密鑰使用”指標做如下要求：）對于公鑰密碼體制，在使用公鑰之前應對其進行驗證。）在非對稱密碼系統(tǒng)中，密鑰對中的每個密鑰都用于單獨的功能。除非另有說明，密鑰對的兩個密鑰應滿足下述要求： 嚴格禁止私鑰的非授權使用； 公鑰只有在其真實性與完整性經過驗證并且正確時才可以使用； 應防止繼續(xù)使用被懷疑泄露的密鑰。）在對稱密碼系統(tǒng)中，應滿足下述要求： 一個密鑰最多只應被兩個通信方使用； 犌犕犜 應防止繼續(xù)使用被懷疑泄露的密鑰。 密鑰管理 密鑰的導入與導出“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”和“密鑰的歸檔與銷毀”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密鑰管理密鑰的導入與導出”指標做如下要求：）應在密鑰管理員、安全審計員、密碼設備操作員在場的情況下進行密鑰注入，安全審計員也宜在場，并記錄操作備忘錄，提交安全審計日志、安全審計文檔等；）密鑰的傳輸、導入與導出過程應按照雙重控制、密鑰分割的原則進行。如需使用密鑰組件，則所需的密鑰組件應由密鑰組件持有者分別導入；）在傳輸和導入密鑰時，應確認： 只有當密碼設備至少鑒別了兩位以上的被授權人身份時，如通過口令的方式，才可以傳輸私鑰；對于人工方式分發(fā)的密鑰，應使用管理流程，如紙質授權的方式，對被授權人的身份進行鑒別； 只有確信密碼設備在使用前沒有受到任何可能導致密鑰或敏感數據泄露的篡改時，才可以將私鑰導入到密碼設備中； 只有確信密碼設備接口處沒有安裝可能導致傳輸密鑰的任何元素泄露的竊聽裝置時，才可以在密碼設備之間進行私鑰的傳輸； 在生成密鑰和使用密鑰的設備間傳輸私鑰時所使用的設備應是密碼設備； 在將密鑰導入到目標設備后，密鑰傳送設備不應保留任何可能泄露該密鑰的信息； 當使用密鑰傳送設備時，密鑰（如果使用顯式密鑰標識符，還包括密鑰標識符）應從產生密鑰的密碼設備傳輸到密鑰傳送設備，這一設備應被物理運輸到實際使用密鑰的密碼設備所在處。）在使用密鑰組件時，應確認： 構成密鑰的密鑰組件應通過手工或密鑰傳輸設備導入到設備中，密鑰組件的傳輸過程不應向任何非授權的個人泄露密鑰組件的任何部分； 當密鑰組件以可讀的形式分發(fā)時，每一個密鑰組件都應通過在開啟前不會泄露密鑰組件值的密鑰信封進行分發(fā)； 在輸入密鑰組件之前，應檢查密鑰信封或密碼設備有無被篡改的跡象。如果組件之一被篡改，這一套密鑰組件就不應被使用，且應遵循 說明的程序將其銷毀； 密鑰組件應由密鑰組件的每一個持有者單獨輸入并驗證密鑰組件的輸入是否正確。）密鑰管理員應負責檢查密鑰注入時所生成校驗值的一致性；）當密鑰組件輸入密碼設備后，密鑰信封應加以銷毀或密封在另一個防篡改的密鑰信封內，以備將來可能的使用；）密鑰導入或導出后，將存儲備份密鑰的介質保存至密碼信封中，由安全審計員監(jiān)督確認后，鎖入保險柜中；）密鑰在導入或導出時應確定導入或導出的設備或者程序沒有被非正常監(jiān)控。 密鑰的存儲與保管“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”和“密鑰的歸 犌犕犜 檔與銷毀”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密鑰管理密鑰的存儲與保管”指標做如下要求：）應制定密鑰存儲與保管的文檔化規(guī)定。）密鑰資料須保存在保險柜內，保險柜鑰匙由密鑰管理員負責，保證只有指定的密鑰管理人員能打開保管的設備，并將該規(guī)定落實在崗位責任制中，定期對該規(guī)定的落實情況進行檢查。）密碼只能存儲在符合 中規(guī)定的密碼設備中。）若使用密鑰組件，應確保密鑰組件通過特定的密鑰信封或密鑰傳輸設備傳送給被授權人。密鑰信封的印刷，應保證信封在開啟后才能看到密鑰組件。信封應只顯示將密鑰信封遞交給授權人所必需的最少信息。密鑰信封的結構應使得意外的或欺騙性的開啟易于被接收方發(fā)現，如果出現這種情況，密鑰組件就不應再被使用。）應具有密鑰可能泄露時的應急處理和響應措施。）應制定密鑰存儲與保管的文檔化規(guī)定，對密鑰的存儲位置、傳輸方式、傳輸介質、導入與導出流程，以及存儲于保管崗位人員與責任提出要求，定期對該規(guī)定的落實情況進行檢查。）明文密鑰只能存儲在符合 和 中規(guī)定的密碼設備中。 密鑰的使用與更換“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”和“密鑰的歸檔與銷毀”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密鑰管理密鑰的使用與更換”指標做如下要求：）密鑰應明確用途，并按用途正確使用；）應對密鑰使用各環(huán)節(jié)建立跟蹤與核查制度；）在密鑰使用過程中，應有安全措施防止密鑰的泄露和替換；）在密鑰使用過程中，應按照密鑰更換周期要求更換密鑰，密鑰更換允許中斷系統(tǒng)運行；）密鑰泄露時，應立即停止使用，并啟動相應的應急處理和響應措施；）對密碼機、密碼管理設備的系統(tǒng)管理員密碼、用戶密碼、用戶權限進行管理，一旦發(fā)生泄漏或者權限失控應啟動核查跟蹤程序，根據權限失控的情況進行事件等級評估，并適時更新密鑰，必要時應立即更換密鑰；）應對密鑰使用各環(huán)節(jié)建立跟蹤與核查制度，并在日常工作中定期進行密鑰狀態(tài)審查。 密鑰的備份與恢復“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”和“密鑰的歸檔與銷毀”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密鑰管理密鑰的備份與恢復”指標做如下要求：）應建立密鑰恢復與修正工作流程，明確密鑰備份與恢復的觸發(fā)情況，規(guī)定密鑰恢復、修正的標準作業(yè)流程，對關鍵節(jié)點建立授權審批制度，并保留授權審批文件以及密鑰備份、恢復作業(yè)記錄；）如懷疑密鑰泄露或設備的安全性受到威脅，則應將密鑰撤回或更換（例如銷毀或廢止） ；）應制定明確的密鑰備份策略，采用安全可靠的密鑰備份恢復機制，對密鑰進行備份或恢復；）密鑰備份或恢復應進行記錄，并生成審計信息；審計信息包括備份或恢復的主體、備份或恢復的時間等；）應有安全措施防止密鑰的泄露和替換； 犌犕犜 ）應確保密鑰儲存位置和形式的安全，限制密鑰的訪問權限；）如果根據攻擊者已經獲得的信息，可以確認已經發(fā)生了未經授權的密鑰替換，則應遵循下列步驟進行密鑰更換： 擦除任何已經確認被替代的存儲密鑰的加密版本，確認現存的所有加密的密鑰是否合法；如果有不合法的密鑰，則應被刪除； 由某個新的密鑰加密密鑰對合法存儲的加密的密鑰重新加密； 將舊的密鑰加密密鑰從所有運行位置上刪除。）密鑰備份或恢復應進行記錄，并生成審計信息；審計信息包括備份或恢復的主體、備份或恢復的時間等。 密鑰的歸檔與銷毀“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”和“密鑰的歸檔與銷毀”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“密鑰管理密碼的歸檔與銷毀”指標做如下要求：）應采取有效的安全措施，保證歸檔密鑰的安全性和正確性；）歸檔密鑰只能用于解密該密鑰加密的歷史信息或驗證該密鑰簽名的歷史信息；）密鑰歸檔應進行記錄，并生成審計信息；審計信息包括歸檔的密鑰、歸檔的時間等；）歸檔密鑰應進行數據備份，并采用有效的安全保護措施；）應具有緊急情況下銷毀密鑰的措施；）當密碼設備從服務中永久刪除時，設備中存儲的全部私鑰都應被銷毀；）私鑰的銷毀可通過使用新密鑰值或使用非機密值完全覆蓋原密鑰值實現，這樣關于被擦除密鑰的信息不會再保留；）密鑰銷毀的操作要求不可逆，即不可從刪除結果中恢復原密鑰；）密鑰的銷毀應在密鑰管理員、安全審計員的監(jiān)督下進行，并應對終止過程與結果進行記錄，并歸檔保存；）硬件密碼機應具有密鑰自動銷毀功能，當密碼機送檢、維修或者運輸時應啟動自動銷毀功能，保證硬件密碼機中的所有密鑰被徹底刪除，在執(zhí)行該類操作時，應在密鑰管理員、安全審計員的監(jiān)督下進行，確保密鑰被銷毀，并應對終止過程與結果進行記錄，并歸檔保存；）對于業(yè)務系統(tǒng)終端中的密鑰，應通過在某一運行位置擦除所有形式的密鑰來實現，必要時宜采用物理銷毀的方法刪除密鑰，并對終止過程與結果進行記錄，并歸檔保存。 安全管理要求 概述應根據國家相關密碼管理政策，遵循金融業(yè)數據安全保密的國家標準，結合組織實際情況，成立密鑰管理小組，制定并落實密鑰管理小組崗位責任制；密鑰管理小組應至少包含由密鑰管理人員、安全審計人員、密碼設備操作人員，上述崗位人員不可互相兼任。 安全管理制度“安全管理制度” “人員管理要求” “密碼設備管理”和“使用密碼的業(yè)務終端要求”是銀行卡信息系統(tǒng)“安全管理要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“安全管理要求安全管理制度”指標做如下要求： 犌犕犜 ）應對所有密鑰的生成、存儲、注入、使用、分發(fā)、備份、恢復、歸檔、銷毀等方面建立管理制度；）應建立密碼設備、密碼系統(tǒng)的標準作業(yè)規(guī)程，明確各步驟的操作標準流程，各階段操作應生成作業(yè)表格，并歸檔留存；）對密碼管理與密鑰管理工作中的重要業(yè)務終端，應建立嚴格的終端訪問與使用要求；）根據密鑰系統(tǒng)特性妥善保管密碼卡、密碼應用軟件、源代碼；）定期檢查密碼設備與密鑰系統(tǒng)的安全管理狀況，依據密鑰安全管理制度要求，填報有關表格和報告，檢查間隔不得大于個月。 人員管理要求“安全管理制度” “人員管理要求” “密碼設備管理”和“使用密碼的業(yè)務終端要求”是銀行卡信息系統(tǒng)“安全管理要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“安全管理要求人員管理要求”指標做如下要求：）依據主管部門要求與組織實際情況，應配備一定數量的密鑰管理人員、安全審計人員、密碼設備操作人員等崗位人員；）應配備專職密鑰管理人員，實行、崗制度，不可兼任；）應建立崗位責任制度，明確相關人員在密碼設備管理與密鑰系統(tǒng)管理中的職責和權限，密鑰管理、安全審計、密碼設備操作崗位人員職責不得交叉，相關設備與系統(tǒng)的管理和使用賬號不得多人共用；）信息技術重要崗位上的信息技術人員應定期進行輪換；）密鑰管理人員應是本機構在編的正式員工，并逐級進行備案，規(guī)范密鑰管理；）應對密碼管理、密碼設備操作建立人員選拔制度和審查制度，確定專職人員承擔相關工作，對相關人員實施必要的審查；）應建立人員考核制度，定期進行崗位人員考核；）應建立關鍵崗位人員保密制度和調離制度，簽訂保密合同，承擔保密義務。 密碼設備管理“安全管理制度” “人員管理要求” “密碼設備管理”和“使用密碼的業(yè)務終端要求”是銀行卡信息系統(tǒng)“安全管理要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“安全管理要求密碼設備管理”指標做如下要求：）系統(tǒng)應建立有效的密碼設備安全管理制度；）系統(tǒng)應采用經國家密碼管理主管部門認證的密碼產品；）密碼設備操作人員應經過專業(yè)培訓和考核；）系統(tǒng)應配備專門的密碼設備維護人員和管理人員。 使用密碼的業(yè)務終端要求“安全管理制度” “人員管理要求” “密碼設備管理”和“使用密碼的業(yè)務終端要求”是銀行卡信息系統(tǒng)“安全管理要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護三級要求中，對“安全管理要求使用密碼的業(yè)務終端要求”指標做如下要求：）終端設備密碼模塊應符合國家密碼管理主管部門與行業(yè)主管部門相關規(guī)定和標準；）終端設備應通過測試滿足密碼運算的基本功能和性能要求；）終端設備密鑰與密碼的操作應依據操作手冊和操作規(guī)程進行； 犌犕犜 ）終端設備報廢時應依據密碼終端設備報廢規(guī)程，將存儲在該設備中的密鑰刪除和銷毀，銷毀終端密碼應用相關軟件，并留存銷毀記錄。銀行卡信息系統(tǒng)密碼技術安全保護四級要求 基本要求應滿足 中第四級指標要求。 密碼技術安全要求 物理和環(huán)境安全 總則參照 中物理和環(huán)境安全密碼應用總則。 密碼硬件安全“密碼硬件安全” “物理環(huán)境安全”和“電子門禁系統(tǒng)”是銀行卡信息系統(tǒng)“物理和環(huán)境安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“物理和環(huán)境安全密碼硬件安全”指標做如下要求：）系統(tǒng)的專用硬件或固件以及密碼設備應具有嚴格的物理安全保護措施；）系統(tǒng)的專用硬件或固件以及密碼設備應滿足相應運行環(huán)境的可靠性要求。 物理環(huán)境安全“密碼硬件安全” “物理環(huán)境安全”和“電子門禁系統(tǒng)”是銀行卡信息系統(tǒng)“物理和環(huán)境安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“物理和環(huán)境安全物理環(huán)境安全”指標做如下要求：應使用密碼技術的真實性功能來保護物理訪問控制身份鑒別信息，保證重要區(qū)域進入人員身份的真實性； 電子門禁系統(tǒng)“密碼硬件安全” “物理環(huán)境安全”和“電子門禁系統(tǒng)”是銀行卡信息系統(tǒng)“物理和環(huán)境安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“物理和環(huán)境安全電子門禁系統(tǒng)”指標做如下要求：）在電子門禁系統(tǒng)中，應使用密碼技術的完整性服務保證電子門禁系統(tǒng)進出記錄的完整性，其密碼功能應確保正確、有效。）門禁系統(tǒng)要求讀卡方式宜使用非接觸讀卡方式，避免使用磁條卡。）當門禁系統(tǒng)檢測到無法識別的卡片嘗試非法進入時，應提供警告信息并能對非法嘗試的卡片進行定位。）采用的門禁系統(tǒng)資質、架構、部署應符合 要求的技術規(guī)范。）應制定相應規(guī)章制度以確保門禁系統(tǒng)使用的合規(guī)性、正確性、有效性。）應保證重要區(qū)域進入人員的身份鑒別信息不可篡改，應使用完整性服務保證進出記錄的完整性，其密碼功能應確保正確、有效。 犌犕犜 ）進入機房區(qū)域，除利用感應卡外，還需通過熱指紋驗證系統(tǒng)，嚴格控制無關人員進入。門禁系統(tǒng)應設置非法闖入報警、開門時間過長、玻璃破碎報警和反折返功能。為配合反折返功能，在機房內均應裝配有微波、被動紅外線的移動報警器，當合法授權進入房間的人員全部離開后，移動報警器自動激活，如探測到移動的生命體，立即報警，保障核心部位在無合法授權工作人員（有權限不合法進入的人員也為無合法授權工作人員）后，處于絕對無人狀態(tài)。）應保證重要區(qū)域進入人員的身份鑒別信息可靠，應使用密碼技術的真實性服務實現身份鑒別，其密碼功能應確保正確、有效。 網絡和通信安全 總則參照 中網絡和通信安全密碼應用總則。 通信安全“通信安全” “身份鑒別” “安全訪問路徑”和“審計記錄”是銀行卡信息系統(tǒng)“網絡和通信安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“網絡和通信安全通信安全”指標做如下要求：）為防止訪問通訊數據被篡改、截獲、假冒和重用，應使用密碼技術的完整性服務、機密性服務和真實性服務對網絡邊界、系統(tǒng)資源訪問控制信息進行保護，并對其中關鍵敏感數據，如、等進行單獨加密，其密碼功能應確保正確、有效；）在進行數據傳輸時，應使用數字證書、加密解密等密碼技術，建立安全的傳輸層會話通道；傳輸數據的主體應對客體的身份信息進行鑒別，保障數據的機密性；）應使用密碼技術的真實性服務來實現通信雙方會話初始化驗證，其密碼功能應確保正確、有效；）應使用密碼技術的抗抵賴服務來提供數據原發(fā)證據和數據接收證據，實現數據原發(fā)行為的抗抵賴和數據接收行為的抗抵賴，其密碼功能應確保正確、有效；）對于通過互聯(lián)網對外提供服務的系統(tǒng)，在通信過程中的整個報文或會話過程，應通過專用的通信協(xié)議或加密的方式保證通信過程的機密性；）應使用交易信息的安全通道傳輸協(xié)議（，且應符合 要求）進行加密傳輸；）在建立安全的通信傳輸路徑時，應使用密碼技術的真實性服務來實現通信主體身份鑒別，其密碼功能應確保正確、有效。 身份鑒別“通信安全” “身份鑒別” “安全訪問路徑”和“審計記錄”是銀行卡信息系統(tǒng)“網絡和通信安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“網絡和通信安全身份鑒別”指標做如下要求：）在對登錄網絡設備的用戶進行身份鑒別時，為防止鑒別信息被重用和假冒，應使用密碼技術的真實性服務對鑒別信息進行防重用和防假冒保護，其密碼功能應確保正確、有效；）在執(zhí)行網絡遠程管理時，為防止鑒別信息在傳輸過程中被泄露，應使用密碼技術的機密性服務對鑒別信息進行機密性保護，其密碼功能應確保正確、有效；）網絡設備系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，關鍵網絡設備的靜態(tài)密碼應在 位以上并由字母、數字、符號等混合組成并定期更換； 犌犕犜 ）信息系統(tǒng)對通過身份認證后的實體，應使用密碼技術生成唯一的隨機的標識符，并確保該功能正確、有效；）應設置鑒別警示信息，當出現越權訪問或嘗試非法訪問時，系統(tǒng)會自動提示未授權訪問；）應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別，并且身份鑒別信息至少有一種是不易偽造的，例如以密鑰證書、動態(tài)口令卡、生物特征等作為身份鑒別信息；）若使用短信驗證碼或進行身份認證，應確保驗證功能正確、有效，不可通過其他方式繞過驗證碼或的校驗；）應具有登錄失敗處理功能，宜采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；）每季度應檢查并鎖定或撤銷網絡設備中不必要的用戶賬號。 安全訪問路徑“通信安全” “身份鑒別” “安全訪問路徑”和“審計記錄”是銀行卡信息系統(tǒng)“安全訪問路徑”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“網絡和通信安全安全訪問路徑”指標做如下要求：）在建立安全訪問路徑的過程中，應使用密碼技術的真實性服務保證通信主體身份鑒別信息的可靠與真實性，其密碼功能應確保正確、有效；）在建立安全訪問路徑的過程中，應使用密碼技術的完整性服務保證安全訪問路徑中路由控制信息的完整性，其密碼功能應確保正確、有效。 審計記錄“通信安全” “身份鑒別” “安全訪問路徑”和“審計記錄”是銀行卡信息系統(tǒng)“安全訪問路徑”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“網絡和通信安全審計記錄”指標做如下要求：應使用密碼技術的完整性服務對審計記錄進行完整性保護，其密碼功能應確保正確、有效。 設備和計算安全 總則參照 中設備和計算安全密碼應用總則。 審計記錄“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“設備和計算安全審計記錄”指標做如下要求：應使用密碼技術的完整性服務實現審計記錄的完整性校驗，其密碼功能應確保正確、有效。 身份鑒別“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“設備和計算安全身份鑒別”指標做如下要求：）在進行身份鑒別時，為防止鑒別信息被假冒、重用，應使用密碼技術的真實性服務對鑒別信息 犌犕犜 進行防假冒和防重用保護，其密碼功能應確保正確、有效；）在進行身份鑒別時，為防止鑒別信息在傳輸過程中被泄露，應使用密碼技術的機密性服務對鑒別信息進行機密性保護，其密碼功能應確保正確、有效；）操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，關鍵系統(tǒng)的靜態(tài)口令應在 位以上并由字母、數字、符號等混合組成并定期更換；）關鍵性交易，需要用戶對交易內容進行身份信息確認（如使用二代 等） ，確認后對交易數據做數字簽名，達到交易信息的不可否認性；）應設置鑒別警示信息，當出現越權訪問或嘗試非法訪問時，系統(tǒng)會自動提示未授權訪問；）應采用兩種或兩種以上組合的鑒別技術對管理用戶或關鍵信息系統(tǒng)用戶進行身份鑒別，并且身份鑒別信息至少有一種是不易偽造的，例如以密鑰證書、動態(tài)口令卡、生物特征等作為身份鑒別信息；）應使用密碼技術的真實性服務實現鑒別信息的防假冒和防重用功能，保證操作系統(tǒng)和數據庫系統(tǒng)用戶身份的真實性，其密碼功能應確保正確、有效；）應設置鑒別警示信息，當出現越權訪問或嘗試非法訪問時，系統(tǒng)會自動提示未授權訪問；）主機系統(tǒng)應對與之相連的服務器或終端設備進行身份標識和鑒別，當網絡對服務器進行遠程管理時，應采取加密措施，防止鑒別信息在網絡傳輸過程中被竊聽；）應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別，并且身份鑒別信息至少有一種是不可偽造的，例如以密鑰證書、動態(tài)口令卡、生物特征等作為身份鑒別信息；）應每季度檢查并鎖定或撤銷主機設備中不必要的用戶賬號；）系統(tǒng)應強制客戶首次登錄時修改初始密碼；）修改密碼時，不允許新設定的密碼與舊密碼相同。 訪問控制“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“設備和計算安全訪問控制”指標做如下要求：）在訪問控制機制方面，為防止系統(tǒng)資源訪問控制信息被篡改，宜使用密碼技術的完整性服務對系統(tǒng)資源訪問控制信息進行完整性保護，其密碼功能應確保正確、有效；）宜使用密碼技術的完整性功能來保證重要信息資源敏感標記的完整性。 驗證碼與動態(tài)口令“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“設備和計算安全驗證碼與動態(tài)口令”指標做如下要求：）使用手機短信或其他渠道發(fā)送驗證碼時，應使用正確的密碼技術，確保發(fā)送的動態(tài)口令完全隨機，不可預測；）使用手機短信或其他渠道發(fā)送驗證碼時，應確保不會泄露驗證碼的內容；）如果使用令牌進行身份校驗，應使用正確的密碼技術，確保完全隨機，不可預測；）使用手機短信或其他渠道發(fā)送驗證碼時，應確保每個驗證碼只能在有限的時間內使用一次；）如果使用令牌進行身份校驗，應確保每個只能在有限的時間內使用一次。 犌犕犜 密碼模塊“審計記錄” “身份鑒別” “訪問控制” “驗證碼與動態(tài)口令”和“密碼模塊”是銀行卡信息系統(tǒng)“設備和計算安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“設備和計算安全密碼模塊”指標做如下要求。應使用符合 的四級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼產品實現密碼運算和密鑰管理：）系統(tǒng)的專用硬件或固件以及密碼設備應實現授權控制、非授權訪問的檢測、運行狀態(tài)指示等安全功能，保證密碼模塊能夠在核準的工作模式下正確運行；）系統(tǒng)的專用硬件或固件以及密碼設備應能夠防止非授權地泄露模塊的內容或關鍵安全參數；）系統(tǒng)的專用硬件或固件以及密碼設備應能夠防止對密碼模塊和密碼算法進行非授權或檢測不到的修改；）系統(tǒng)的專用硬件或固件以及密碼設備應能檢測出密碼模塊運行中的錯誤，并防止這些錯誤非授權地公開、修改或使用關鍵安全參數。 應用和數據安全 總則參照 中應用和數據安全密碼應用總則。 數據傳輸“數據傳輸” “數據存儲”和“應用終端”是銀行卡信息系統(tǒng)“應用和數據安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“應用和數據安全數據傳輸”指標做如下要求：）應使用密碼技術的完整性服務對重要用戶數據和系統(tǒng)管理數據、鑒別信息等重要業(yè)務數據來實現在傳輸過程中完整性的檢測，其密碼功能應確保正確、有效；）應使用交易信息的安全通道傳輸協(xié)議（，且應符合 要求）進行加密傳輸；）對于銀行卡主賬號、磁道（含芯片等效磁道信息）信息、卡驗證碼（、）個人身份識別碼（ ） 、卡片有效期等敏感賬戶信息，以及用戶證件號碼、手機號碼等關鍵字段，應使用密碼技術進行機密性保護；）對于通過互聯(lián)網對外提供服務的系統(tǒng)，在通信過程中的整個報文或會話過程，應通過專用的通信協(xié)議或加密的方式保證通信過程的機密性；）關鍵性交易，需要用戶對交易內容進行身份信息確認（如使用二代 等） ，確認后對交易數據做數字簽名，達到交易信息的不可否認性；）對敏感信息，比如密碼、交易金額等，應采用安全輸入控件進行加密，再將密文通過等安全通道傳送到后端業(yè)務服務器，進一步增強系統(tǒng)的安全性。 數據存儲“數據傳輸” “數據存儲”和“應用終端”是銀行卡信息系統(tǒng)“應用和數據安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“應用和數據安全數據存儲”指標做如下要求：）應使用密碼技術的完整性服務來實現對系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據在存儲過程中完整性的檢測，其密碼功能應確保正確、有效；）應使用密碼技術的機密性服務來實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據的存儲機密性 犌犕犜 保護，其密碼功能應確保正確、有效。 應用終端“數據傳輸” “數據存儲”和“應用終端”是銀行卡信息系統(tǒng)“應用和數據安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“應用和數據安全應用終端”指標做如下要求：）應使用密碼技術的完整性服務來實現重要程序完整性校驗，其密碼功能應確保正確、有效；）終端應用不應明文或編碼存儲用戶的口令、支付密碼、等敏感信息；）終端應用應對于密碼、等敏感數據進行脫敏處理；）終端應用在處理用戶輸入的敏感數據時，如口令、支付密碼等，應采取安全措施，保證敏感數據的機密性，確保不被非授權獲?。唬┙K端應用不應將用戶的口令、個人信息、等敏感數據泄露給其他實體，如本地其他進程、互聯(lián)網數據服務器等。 密碼配用策略要求 密碼算法配用“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密碼配用策略要求密碼算法配用”指標做如下要求：應采用國家密碼管理主管部門批準使用的算法。 密碼協(xié)議使用“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密碼配用策略要求密碼協(xié)議使用”指標做如下要求：應采用通過國家密碼管理主管部門安全性評審的密碼協(xié)議實現密碼功能。 應用密文產生“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。應用密文應由基于以下數據生成的報文鑒別碼組成： 引用 卡的并通過生成應用密文（）命令或其他命令從終端傳輸到 卡的數據； 卡內部訪問的數據。建議的應用密文生成中使用的最小數據集如表所示，可選的應用密文生成數據源如表所示。表建議的應用密文生成中使用的最小數據集值來源授權金額（數字）終端其他金額（數字）終端終端國家代碼終端 犌犕犜 表（續(xù)）值來源終端驗證結果終端交易貨幣代碼終端交易日期終端交易類型終端不可預知數終端應用交互特征 卡應用交易計數器 卡表可選的應用密文生成數據源值來源卡片驗證結果 卡 銀行卡終端“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。對于受理銀行卡業(yè)務的商用終端，如、等產品，其密碼配用策略應滿足如下要求：對于有人值守的終端（如） ，金額輸入過程必須和 輸入過程分開，以避免意外地將 顯示在終端的顯示屏上。若在同一個鍵盤上輸入金額和 ，那么金額輸入和 輸入應是明顯分開的兩個操作，如果沒有其他確認操作，持卡人輸入的 應被用于金額確認。 密碼鍵盤“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。對于密碼鍵盤，應滿足如下要求：）密碼鍵盤的技術要求應符合國家密碼管理主管部門與行業(yè)主管部門相關規(guī)定和標準；）密碼鍵盤內部包含具有加密運算處理功能的專用器件，能夠完成報文加密、解密、報文認證計算和驗證。密碼鍵盤應能夠安全地存儲密鑰，防止被讀取。應可存儲、選用多組密鑰；）交易金額需顯示在密碼鍵盤的顯示屏上；）持卡人鍵入口令時，密碼鍵盤的顯示屏上不能顯示明文，只能顯示星號；）密碼鍵盤與終端之間的信息傳送應以密文的形式進行。 密碼設備使用“密碼算法配用” “密碼協(xié)議使用” “應用密文產生” “銀行卡終端” “密碼鍵盤”和“密碼設備使用”是銀行卡信息系統(tǒng)“密碼配用策略要求”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密碼配用策略要求密碼設備使用”指標做如下要求：）應選用國家密碼管理主管部門批準的密碼設備； 犌犕犜 ）信源加密、完整性校驗、身份鑒別、抗抵賴應選用可信密碼模塊、智能密碼鑰匙、智能 卡、密碼卡、密碼機等密碼設備；）信道加密應選用鏈路密碼機、網絡密碼機、安全網關等密碼設備；）需要配用獨立的密鑰管理系統(tǒng)或使用數字證書認證系統(tǒng)提供的密鑰管理服務；）密碼機產品實現密鑰存儲、保護功能。密碼機中的密鑰通過加密存放在非易失性存儲區(qū)中，密碼設備在設計上不允許密鑰以明文形式輸出卡外，從而保證了密鑰的安全性。 密鑰安全與管理要求 總則參照 中密鑰管理總則。 密鑰安全 密鑰生成“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密鑰安全密鑰生成”指標做如下要求：）應使用國家密碼管理主管部門批準的硬件物理噪聲源產生隨機數；）密鑰應在密碼設備內部生產，不得以明文方式出現在密碼設備之外；）應具備檢查和剔除弱密鑰的能力；）密鑰對生成應由密鑰對的所有者或其代理方完成；）非對稱密鑰對的生成方式應保證私鑰的機密性以及公鑰的完整性，并能夠向第三方來證明；）若加密密鑰與被加密的密鑰形成上下級密鑰關系，那么在密鑰分級結構中，上級密鑰與它們所保護的密鑰相比，安全級別應相等或更高；）如果密鑰對由不使用該密鑰對的系統(tǒng)生成，則： 在確認傳輸已經完成后，密鑰對和所有相關的機密種子元素應被立即擦除； 確保私鑰的完整性；）生成密鑰審計信息，密鑰審計信息包括：種類、長度、擁有者信息、使用起始時間、使用終止時間；）密鑰不應以可讀形式存在；）非對稱密鑰對在生成時應包含更換日期以建立密鑰對的生命周期；）非對稱密鑰對的長度應足夠大以使攻擊在計算上不可行；）非對稱密鑰對的生成應由認證機構（） 、密鑰對所有者或第三方授權機構完成；）密鑰應在防電磁泄射環(huán)境下生成。 密鑰存儲“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密鑰安全密鑰存儲”指標做如下要求：）密鑰應加密存儲在專用硬件中，并采取嚴格的安全防護措施，防止密鑰被非法獲取；）應通過口令保護系統(tǒng)中存儲的密鑰或其組件；）應采用兩種或兩種以上組合的鑒別技術，保護存儲在密鑰傳輸設備里的密鑰組件，例如以密鑰證書、動態(tài)口令卡、生物特征等作為身份鑒別信息； 犌犕犜 ）若被加密密鑰的長度超過密鑰加密密碼的分組的長度，那么每個被加密密鑰分組應： 具有完整性，每一個密鑰分組從被授權生成、傳輸或存儲時起，不能以非授權方式改變； 以特定方式并按照特定的順序使用； 被視為一個固定的量，其中的每個分組都不能被單獨操作，而其他分組保持不變； 不能以任何非授權的目的分開使用；）應通過以下一種或多種方法來防止對存儲公鑰的非授權替換： 在物理上和流程防止對密鑰存儲區(qū)的非授權訪問； 根據使用目的不同將密鑰加密存儲，并且確保明文及其由該密鑰加密密鑰加密的相應密文均不會被知曉； 保存包含公鑰的證書，并在使用前驗證證書。應保證用于驗證此證書的公鑰的真實性和完整性。 密鑰分發(fā)“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密鑰安全密鑰分發(fā)”指標做如下要求：）密鑰分發(fā)應采取身份鑒別、數據完整性、數據機密性等安全措施，應能夠抗截取、假冒、篡改、重放等攻擊，保證密鑰的安全性；）如果密鑰對由不使用該密鑰對的系統(tǒng)生成，則： 在確認傳輸已經完成后，密鑰對和所有相關的機密種子元素應被立即擦除； 應確保私鑰的完整性。 密鑰使用“密鑰生成” “密鑰存儲” “密鑰分發(fā)”和“密鑰使用”是銀行卡信息系統(tǒng)“密鑰安全”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密鑰安全密鑰使用”指標做如下要求：）對于公鑰密碼體制，在使用公鑰之前應對其進行驗證；）在非對稱密碼系統(tǒng)中，密鑰對中的每個密鑰都用于單獨的功能。除非另有說明，密鑰對的兩個密鑰應滿足下述要求： 嚴格禁止私鑰的非授權使用； 一個密鑰只能在預定的位置用于預期的功能； 私鑰應存在于保持系統(tǒng)有效運行的最少位置上； 密碼周期結束或者已知或懷疑私鑰已經泄露時，應停止密鑰對的使用； 公鑰只有在其真實性與完整性通過驗證后才可以使用； 應保護私鑰的機密性和完整性。因此，私鑰不應在密碼設備外使用； 應實施物理控制和邏輯控制來防止密鑰的非授權使用； 公鑰的接受者應在使用前驗證公鑰的完整性和真實性； 應防止繼續(xù)使用被懷疑泄露的密鑰；）在對稱密碼系統(tǒng)中，應滿足下述要求： 一個密鑰最多只應被兩個通信方使用； 應防止繼續(xù)使用被懷疑泄露的密鑰。 密鑰管理 犌犕犜 密鑰的導入與導出“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”和“密鑰的歸檔與銷毀”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密鑰管理密鑰的導入與導出”指標做如下要求：）應在密鑰管理員、安全審計員、密碼設備操作員在場的情況下進行密鑰注入，安全審計員也宜在場，并記錄操作備忘錄，提交安全審計日志、安全審計文檔等；）密鑰的傳輸、導入與導出過程應按照雙重控制、密鑰分割的原則進行；如需使用密鑰組件，則所需的密鑰組件應由密鑰組件持有者分別導入；）在傳輸和導入密鑰時，應確認： 只有當密碼設備至少鑒別了兩位以上的被授權人身份時，如通過口令的方式，才可以傳輸私鑰。對于人工方式分發(fā)的密鑰，應使用管理流程，如紙質授權的方式，對被授權人的身份進行鑒別； 只有確信密碼設備在使用前沒有受到任何可能導致密鑰或敏感數據泄露的篡改時，才可以將私鑰導入到密碼設備中； 只有確信密碼設備接口處沒有安裝可能導致傳輸密鑰的任何元素泄露的竊聽裝置時，才可以在密碼設備之間進行私鑰的傳輸； 在生成密鑰和使用密鑰的設備間傳輸私鑰時所使用的設備應是密碼設備； 在將密鑰導入到目標設備后，密鑰傳送設備不應保留任何可能泄露該密鑰的信息； 當使用密鑰傳送設備時，密鑰（如果使用顯式密鑰標識符，還包括密鑰標識符）應從產生密鑰的密碼設備傳輸到密鑰傳送設備，這一設備應被物理運輸到實際使用密鑰的密碼設備所在處；）在使用密鑰組件時，應確認： 構成密鑰的密鑰組件應通過手工或密鑰傳輸設備導入到設備中，密鑰組件的傳輸過程不應向任何非授權的個人泄露密鑰組件的任何部分； 當密鑰組件以可讀的形式分發(fā)時，每一個密鑰組件都應通過在開啟前不會泄露密鑰組件值的密鑰信封進行分發(fā)； 在輸入密鑰組件之前，應檢查密鑰信封或密碼設備有無被篡改的跡象。如果組件之一被篡改，這一套密鑰組件就不應被使用，且應遵循 說明的程序將其銷毀； 密鑰組件應由密鑰組件的每一個持有者單獨輸入并驗證密鑰組件的輸入是否正確；）密鑰管理員應負責檢查密鑰注入時所生成校驗值的一致性；）當密鑰組件輸入密碼設備后，密鑰信封應加以銷毀或密封在另一個防篡改的密鑰信封內，以備將來可能的使用；）密鑰導入或導出后，將存儲備份密鑰的介質保存至密碼信封中，由安全審計員監(jiān)督確認后，鎖入保險柜中；）密鑰在導入或導出時應確定導入或導出的設備或者程序沒有被非正常監(jiān)控；）密鑰的導入與導出應采用密鑰分量的方式或者專用設備的方式；）密鑰的導入與導出應保證系統(tǒng)密碼服務功能不間斷。 密鑰的存儲與保管“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”和“密鑰的歸 犌犕犜 檔與銷毀”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密鑰管理密鑰的存儲與保管”指標做如下要求：）應制定密鑰存儲與保管的文檔化規(guī)定，對密鑰的存儲位置、傳輸方式、傳輸介質、導入與導出流程，以及存儲于保管崗位人員與責任提出明確的要求，定期對該規(guī)定的落實情況進行檢查，檢查頻度不得小于每個月；）密鑰資料須保存在保險柜內，保險柜鑰匙由密鑰管理員負責，保證只有指定的密鑰管理人員能打開保管的設備，并將該規(guī)定落實在崗位責任制中，定期對該規(guī)定的落實情況進行檢查，檢查頻度不得小于每個月；）密碼只能存儲在符合 中規(guī)定的密碼設備中；）若使用密鑰組件，應確保密鑰組件通過特定的密鑰信封或密鑰傳輸設備傳送給被授權人。密鑰信封的印刷，應保證信封在開啟后才能看到密鑰組件。信封應只顯示將密鑰信封遞交給授權人所必須的最少信息。密鑰信封的結構應使得意外的或欺騙性的開啟易于被接收方發(fā)現，如果出現這種情況，密鑰組件就不應再被使用；）應具有密鑰可能泄露時的應急處理和響應措施；）應制定密鑰存儲與保管的文檔化規(guī)定，對密鑰的存儲位置、傳輸方式、傳輸介質、導入與導出流程，以及存儲于保管崗位人員與責任提出要求，定期對該規(guī)定的落實情況進行檢查；）明文密鑰只能存儲在符合 和 中規(guī)定的密碼設備中。 密鑰的使用與更換“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”和“密鑰的歸檔與銷毀”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密鑰管理密鑰的使用與更換”指標做如下要求：）密鑰應明確用途，并按用途正確使用；）應對密鑰使用各環(huán)節(jié)建立跟蹤與核查制度，并在日常工作中定期進行密鑰狀態(tài)審查；）在密鑰使用過程中，應有安全措施防止密鑰的泄露和替換；）在密鑰使用過程中，應按照密鑰更換周期要求更換密鑰，密鑰更換允許中斷系統(tǒng)運行；）密鑰泄露時，應立即停止使用，并啟動相應的應急處理和響應措施；）對密碼機、密碼管理設備的系統(tǒng)管理員密碼、用戶密碼、用戶權限應嚴格的文檔化的管理，一旦發(fā)生疑似泄漏或者權限失控應立即進行核查跟蹤，根據權限失控的情況進行事件等級評估，禁止一切與該密鑰相關的操作，直到及時更新相關密鑰更新。 密鑰的備份與恢復“密鑰的導入與導出” “密鑰的存儲與保管” “密鑰的使用與更換” “密鑰的備份與恢復”和“密鑰的歸檔與銷毀”是銀行卡信息系統(tǒng)“密鑰管理”的組成部分。在銀行卡信息系統(tǒng)密碼技術安全保護四級要求中，對“密鑰管理密鑰的備份與恢復”指標做如下要求：）應建立密鑰恢復與修正工作流程，明確密鑰備份與恢復的觸發(fā)情況，規(guī)定密鑰恢復、修正的標準作業(yè)流程，對關鍵節(jié)點建立授權審批制度，并保留授權審批文件以及密鑰備份、恢復作業(yè)記錄；）如懷疑密鑰泄露或設備的安全性受到威脅，則應將密鑰撤回或更換（例如銷毀或廢止） ；）應制定明確的密鑰備份策略，采用安全可靠的密鑰備份恢復機制，對密鑰進行備份或恢復；）密鑰備份或恢復應進行